一文读懂对可信计算现状分析与未来展望 – 作者:中孚信息

可信计算采用“计算运算+安全防护”双体系并存、互为支撑的模式，极大程度上保证了系统和应用的完整性，以及系统预期运行的可信状态，进而使操作系统安全升级、应用完整性保障、安全策略强制实现等方面得到大力提升。

经过多年完善和演进，国际可信计算组织（TCG：Trusted Computing Group） 以 可 信 平 台 模 块（TPM：Trusted Platform Module）为核心技术，指导推进可信相关产品的开发和产业化落地，其TPM2.0规范已被 ISO/IEC 将其标识为国际标准。我国遵循国产化技术路线，推出了TPCM可信标准，相对TPM/TCM，TPCM对硬件和可信软件栈（TSS：Trusted Software Stack）架构做了一定改动，以国产密码体系为可信基础，将TPM作为可信计算的信任根，并以可信主板为可信计算的平台，对上层业务应用进行透明支撑，保障应用执行环境和网络环境安全。目前，国内可信计算技术已发展至“主动度量，内生免疫”的可信3.0阶段。

//现状：可信计算支撑可信网络建设的作用日趋明显

#

标准不断完善

等级保护2.0标准体系根据不同等级的安全要求，从第一级到第四级均在“安全通信网络”、“安全区域边界”和“安全计算环境”中增加了“可信验证”控制点，针对访问控制的主体、客体、操作和执行环境进行不同完备程度的可信验证，并对三级、四级网络中的安全管理中心中提出“可信验证策略配置”的功能需求。去年颁布的《GB/T 37935-2019 可信计算规范 可信软件基》明确规定了可信软件基的功能结构、工作流程、保障要求和交互接口规范，适用于可信软件基的设计、生产和测评。在等保2.0和关键信息基础设施安全保护相关法规制度等要求下，不仅可信计算机制被要求植入基础软硬件和网络，基础软硬件与网络安全产品的可信适配性测试和验证要求也逐步加强。

#

生态逐步丰富

针对通用计算平台、工控专用平台、嵌入式平台、云平台等环境，可信计算将信任机制从硬件物理根源上传递至实体系统乃至虚拟化环境，扩展到网络环境，形成体系化的产业应用；以“安全启动、可信执行环境、度量证明、可信存储”等核心功能为支撑，构建可信安全支撑平台，从而为各种类型终端、边缘端、云端计算环境提供可信的管理服务支持。

#

助力信创产业发展

在中美贸易战持续升级，西方敌对势力对我科技限制不断加大的国际背景下，坚持自主创新安全可信，抢占技术制高点意义重大。为彻底摆脱核心技术受制于人的不利局面，国家实施网络空间安全战略和网络安全法，为扶持可信计算项目，加快推广安全可信的网络产品和信息服务提供了政策依据。基于国产密码技术，将可信计算融入到国产信息设备的产品、设计、研发过程，确保体系结构、操作行为、数据存储、策略管理、资源配置等关键环节的安全可信，极大带动了信创产业快速发展。

#

融入网络防御体系

电力行业，国家电网已完成千余套电力可信服务器在各级调度控制中心的规模化部署应用，嵌入式可信计算平台已应用于智能配电终端；在新能源应用领域，嵌入式可信计算平台也投入到多个省市区域的电动汽车充电桩网点推广应用；在云安全方面，阿里云依赖云平台硬件安全中的可信计算能力，通过自研开发的可信服务，实现云上的软件栈可信。以上成功案例表明，我国基于可信计算技术构建信息基础实施的安全防护能力正在不断走向成熟。

//展望：可信计算将在新兴信息技术安全应用领域蓄势待发

可信计算利用密码学机制建立信任链、构建可信赖的计算环境，为实现从根本上主动解决计算平台安全问题提供了有效实践途径，拥有广阔的发展和应用前景。从应用发展趋势来看，受信创工程、“新基建”、双循环驱动等国家战略实施的影响，同时在相关政策法规支持下，立足于核心关键技术不受制于人，我国可信计算必将朝着国产化、自主可控的应用方向发展，自主可控可信计算也有望全面地在国家关键信息基础设施和重要信息系统中得到规模化应用。同时，在政策指导、产业引领、应用驱动下，可信计算技术和标准将持续提高和完善，可信计算测评方法、技术和工具也会相应地快速发展。从技术创新角度来看，随着云计算、5G、物联网、人工智能等新技术和新应用场景的出现，可信计算也需要与新兴技术融合发展，以适应全新安全挑战，主要包括：

• 移动可信计算：通过硬件特性为移动终端设备建立芯片级的安全防护，从体系架构的层面保障用户设备的安全；

• 可信物联网：将可信计算技术应用于物联网的终端、网络以及云端来确保整个物联网的轻量级安全可信；

• 可信云：将可信计算和云计算相结合的安全支撑技术，以解决云平台在虚拟机信任与监控、可信计算环境构建等重要安全问题；

• 可信区块链：一是通过可信执行环境改进共识协议，以提高区块链的效率;二是通过可信执行环境保障区块链自身安全性，确保智能合约在一个安全可信的环境中执行；三是通过可信区块链实现分布式网络中大规模物联网设备的节点认证。

张旗/中孚信息（北京）研究院

来源：freebuf.com 2020-11-27 13:53:15 by: 中孚信息